采用零信任對(duì)于企業(yè)來(lái)說(shuō)似乎是一項(xiàng)艱巨的任務(wù)，但其付出將獲得更多的回報(bào)。

公共會(huì)計(jì)、咨詢和技術(shù)商Crowe公司的網(wǎng)絡(luò)安全管理顧問(wèn)Michael Salihoglu指出，原有的安全模式就像是一座堡壘，有圍墻、護(hù)城河和吊橋。

他說(shuō)，“人們?cè)诒局芯涂梢宰鋈魏蜗胱龅氖虑椋兄鴪?jiān)硬的外殼和軟肋，一旦被網(wǎng)絡(luò)攻擊者攻破將難以抵擋。”

他指出，零信任是實(shí)現(xiàn)安全性的一個(gè)重大轉(zhuǎn)變。

他說(shuō)，“企業(yè)的安全性并不都是這樣的堡壘，但每個(gè)應(yīng)用程序和數(shù)據(jù)存儲(chǔ)設(shè)施都是一種堡壘。每個(gè)人和一切都應(yīng)該盡可能地經(jīng)過(guò)身份驗(yàn)證，我們需要消除內(nèi)部網(wǎng)絡(luò)的固有信任。”

事實(shí)上，美國(guó)總統(tǒng)拜登在去年春天將零信任描述為改善美國(guó)網(wǎng)絡(luò)安全的行政命令的基石。

新的優(yōu)先事項(xiàng)

毫不奇怪，在iSMG公司對(duì)150位網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者進(jìn)行的調(diào)查中，很多受訪者都表示，零信任對(duì)降低他們的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)都至關(guān)重要，46%的受訪者表示，這是他們?cè)?022年最重要的安全實(shí)踐——領(lǐng)先于任何其他網(wǎng)絡(luò)安全項(xiàng)目或戰(zhàn)略。

根據(jù)調(diào)研機(jī)構(gòu)Forrester公司在本月早些時(shí)候發(fā)布的對(duì)300多家大型企業(yè)的調(diào)查報(bào)告，78%的安全戰(zhàn)略高管計(jì)劃在今年增加對(duì)零信任的投入。

在過(guò)去幾個(gè)月發(fā)布的有關(guān)該主題的調(diào)查都表明，零信任是企業(yè)的首要任務(wù)。然而，在實(shí)施方面，很多企業(yè)才剛剛開(kāi)始朝這個(gè)方向發(fā)展。

根據(jù)普華永道公司在去年12月對(duì)全球3600多名高管進(jìn)行的調(diào)查，52%的受訪者表示他們已經(jīng)開(kāi)始或計(jì)劃實(shí)施零信任，但只有11%的受訪者表示開(kāi)始獲得采用零信任的好處，只有28%的受訪者表示已經(jīng)大規(guī)模實(shí)施了零信任。

Forrester公司的調(diào)查表明，表示完全部署零信任的受訪者只有6%，另有30%的受訪者表示將部分部署零信任。此外，63%的受訪者表示他們的零信任項(xiàng)目目前處于評(píng)估、戰(zhàn)略或試點(diǎn)階段。

如何實(shí)施零信任

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的國(guó)家網(wǎng)絡(luò)安全卓越中心目前正在制定一套操作指南和示例方法，以便在最常見(jiàn)的業(yè)務(wù)案例中更輕松地實(shí)施零信任，基本的NIST零信任架構(gòu)參考指南已于2020年夏季發(fā)布。

去年秋天，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了其零信任成熟度模型，這是企業(yè)和機(jī)構(gòu)用來(lái)過(guò)渡到零信任架構(gòu)的路線圖。

與此同時(shí)，就在上個(gè)月，美國(guó)公共與預(yù)算管理辦公室(OMB)發(fā)布了一個(gè)聯(lián)邦戰(zhàn)略，以推進(jìn)零信任架構(gòu)，其中包括一個(gè)詳細(xì)的路線圖，任何組織(而不僅僅是政府機(jī)構(gòu)和承包商)都可以將其用作模型。

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和美國(guó)公共與預(yù)算管理辦公室(OMB)都專注于零信任戰(zhàn)略的五個(gè)主要支柱——保護(hù)身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序、數(shù)據(jù)。

以下是企業(yè)正確執(zhí)行此這一操作的一些最佳實(shí)踐。

(1)從明確的業(yè)務(wù)目標(biāo)開(kāi)始

從零信任開(kāi)始似乎是一項(xiàng)艱巨的任務(wù)。

Banyan Security公司的首席安全官Den Jones說(shuō)：“你不能購(gòu)買(mǎi)零信任產(chǎn)品，并期望奇跡會(huì)在一夜之間發(fā)生。”Jones是Adobe公司和Cisco公司的前高管，也是零信任運(yùn)動(dòng)的先驅(qū)之一。

他指出，這種方法可以幫助關(guān)注有形的業(yè)務(wù)成果。

Jones說(shuō)，“首席信息安全官應(yīng)該專注于改善員工體驗(yàn)或與違規(guī)行為相關(guān)的投資。”

另一個(gè)建議是逐步部署應(yīng)用程序或用戶的零信任架構(gòu)。這樣做可以逐步簡(jiǎn)化整個(gè)過(guò)程，因?yàn)椴槐刂兄购吞鎿Q現(xiàn)有的工作。可以專注于企業(yè)內(nèi)的特定部門(mén)或團(tuán)隊(duì)，而不是一次性完成整個(gè)業(yè)務(wù)。

(2)通過(guò)了解保護(hù)面來(lái)優(yōu)先考慮業(yè)務(wù)風(fēng)險(xiǎn)

如今，許多安全從業(yè)者從潛在的攻擊面開(kāi)始。企業(yè)的邊界在哪里?網(wǎng)絡(luò)攻擊者如何嘗試突破?零信任扭轉(zhuǎn)了這一局面。

Appgate Federal集團(tuán)首席產(chǎn)品官Jason Garbis說(shuō)，“首先要評(píng)估最高價(jià)值和最高風(fēng)險(xiǎn)的用戶和資產(chǎn)——應(yīng)用程序和數(shù)據(jù)。”

他表示，這些是開(kāi)始應(yīng)用零信任原則的最佳場(chǎng)所。他說(shuō)，“即使是很小的變化也會(huì)產(chǎn)生影響。”

(3)當(dāng)心分析癱瘓

轉(zhuǎn)向零信任是一項(xiàng)艱巨的任務(wù)，數(shù)據(jù)中心管理不應(yīng)該試圖弄清楚如何一次完成所有事情。

Optiv Security公司工程研究員Jerry Chapman說(shuō)，“零信任包括許多不同的安全控制和許多不同的技術(shù)。企業(yè)經(jīng)常陷入分析癱瘓。”

(4)圍繞身份重新調(diào)整

Chapman表示，一個(gè)可能的起點(diǎn)是身份。

他說(shuō)，“身份是零信任安全的基礎(chǔ)，但它不一定是完美的。但它確實(shí)必須具有某些關(guān)鍵元素，例如身份來(lái)源和基于角色的訪問(wèn)控制。身份起源意味著知道所有身份的來(lái)源。不僅是用戶身份，還包括在構(gòu)建零信任架構(gòu)時(shí)在云中生成的服務(wù)帳戶和臨時(shí)身份。”

(5)使用微分段構(gòu)建網(wǎng)絡(luò)

Chapman表示，數(shù)據(jù)中心傳統(tǒng)上非常擅長(zhǎng)管理網(wǎng)絡(luò)和周邊環(huán)境。在構(gòu)建零信任架構(gòu)的情況下，其原理是相同的，只是網(wǎng)絡(luò)和邊界會(huì)小得多。

他說(shuō)，“微分段就是如何在數(shù)據(jù)中心創(chuàng)建一個(gè)微邊界，只有預(yù)先批準(zhǔn)的流量才能進(jìn)入。”

這與舊系統(tǒng)的白名單類(lèi)似，除了批準(zhǔn)的名單是基于策略而不是IP地址。維護(hù)一個(gè)網(wǎng)絡(luò)、防火墻和一組規(guī)則對(duì)于嘗試跨微段進(jìn)行維護(hù)已經(jīng)足夠繁重了。采用人工工作不再能解決這個(gè)問(wèn)題。

Chapman表示，這就是現(xiàn)代零信任網(wǎng)絡(luò)訪問(wèn)解決方案使用機(jī)器學(xué)習(xí)或人工智能來(lái)了解良好流量的原因，并幫助企業(yè)以自動(dòng)化方式創(chuàng)建訪問(wèn)策略。

他補(bǔ)充說(shuō)，“一旦在學(xué)習(xí)模式下找到了解決方案，就可以開(kāi)始采取措施并禁用通用流量。”

(6)實(shí)施政策、有條件的安全訪問(wèn)控制和最小權(quán)限原則

在零信任的世界中，數(shù)據(jù)中心的安全性基于身份而不是基于特定的個(gè)人身份。

Chapman說(shuō)，“企業(yè)必須開(kāi)始考慮基于身份的安全策略。必須將范式從‘你從會(huì)計(jì)需要訪問(wèn)某一個(gè)應(yīng)用程序’更改為‘具有這些角色的用戶可以從會(huì)計(jì)服務(wù)器訪問(wèn)這些數(shù)據(jù)。’這是一種高級(jí)別的模式，它消除了管理所有身份和訪問(wèn)請(qǐng)求的細(xì)節(jié)。”

在這里，人工智能再次可以幫助企業(yè)自動(dòng)生成角色和訪問(wèn)策略。但人工智能尚未理解不斷變化的業(yè)務(wù)需求。僵化的角色和策略可能會(huì)阻止用戶和流程完成他們的工作。

(7)允許合理范圍內(nèi)的例外情況以及政策限制范圍內(nèi)的例外情況

與任何技術(shù)一樣，實(shí)現(xiàn)零信任有良好的一方面，也有糟糕的一方面。

Chapman說(shuō)，“如今，我看到了Active Directory環(huán)境非常糟糕，Active Directory已經(jīng)有20年的應(yīng)用歷史，擁有5000個(gè)用戶和50000個(gè)群組。”

當(dāng)企業(yè)添加策略、訪問(wèn)權(quán)限和角色以滿足業(yè)務(wù)需求，然后累計(jì)到無(wú)法管理的混亂時(shí)，也會(huì)發(fā)生同樣的情況。

他說(shuō)，其解決方案是建立一個(gè)治理流程。

他說(shuō)，“零信任的前提是提供及時(shí)和足夠的訪問(wèn)權(quán)限，有時(shí)，為了服務(wù)于某家企業(yè)的業(yè)務(wù)用例，可能面臨一個(gè)混亂的過(guò)程。我對(duì)這個(gè)企業(yè)提出的問(wèn)題是，這種混亂的環(huán)境會(huì)持續(xù)多長(zhǎng)時(shí)間?如果正在管理這個(gè)解決方案，當(dāng)不再需要時(shí)，它就會(huì)被刪除。”

而且這種臨時(shí)訪問(wèn)也可以依賴于策略。例如，如果某人需要訪問(wèn)生產(chǎn)服務(wù)器以解決問(wèn)題，則策略可能要求提供服務(wù)票證，說(shuō)明服務(wù)器已經(jīng)關(guān)閉，并且只有在票證打開(kāi)時(shí)才允許訪問(wèn)。

(8)可見(jiàn)性是關(guān)鍵

在企業(yè)可以圍繞身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)實(shí)施零信任之前，他們需要全面了解其環(huán)境，以及所有事物如何與其他事物連接。

Forescout Technologies公司全球醫(yī)療保健副總裁Tamer Baker說(shuō)，“用戶、設(shè)備和服務(wù)都連接到數(shù)據(jù)中心，這是一個(gè)復(fù)雜的環(huán)境，只會(huì)由于采用云計(jì)算服務(wù)而變得更加復(fù)雜。如果企業(yè)試圖在不了解該環(huán)境的行為方式的情況下強(qiáng)制執(zhí)行，他們可能會(huì)對(duì)安全漏洞視而不見(jiàn)，或者破壞工作流。”

他表示，一旦獲得了全面的可見(jiàn)性，他們就可以開(kāi)始了解需要哪些信任技術(shù)和執(zhí)行策略。

事實(shí)上，許多必要的技術(shù)可能已經(jīng)到位，只需要使用編排和策略引擎進(jìn)行更新。

Baker補(bǔ)充說(shuō)，“這就是為什么從了解所有連接的業(yè)務(wù)邏輯及其通信方式開(kāi)始如此重要的原因，”

(9)消除攻擊面

在傳統(tǒng)方法中，應(yīng)用程序被發(fā)布到全球互聯(lián)網(wǎng)上。

Zscaler ThreatLabZ公司研究團(tuán)隊(duì)負(fù)責(zé)人Desai說(shuō)，“這意味著他們可以很容易地被對(duì)手發(fā)現(xiàn)。”

然后，網(wǎng)絡(luò)攻擊者將采用一切手段和措施以破壞企業(yè)防御機(jī)制，例如使用暴力破解、竊取的憑據(jù)或漏洞攻擊。

他說(shuō)，“零信任方法通過(guò)隱藏源身份和混淆IP地址來(lái)避免將企業(yè)資產(chǎn)暴露在互聯(lián)網(wǎng)上。”

Desai表示，當(dāng)應(yīng)用程序?qū)?duì)手不可見(jiàn)并且只能由授權(quán)用戶訪問(wèn)時(shí)，網(wǎng)絡(luò)攻擊面就會(huì)減少。他說(shuō)，“它確保對(duì)應(yīng)用程序的訪問(wèn)——在互聯(lián)網(wǎng)、SaaS、公有或私有云中是安全的。”

關(guān)鍵詞： 首要任務(wù) 網(wǎng)絡(luò)攻擊者 大型企業(yè)